Een Trojaans paard waarvoor Salesforce.com onlangs nog een waarschuwing gaf is verder ontwikkeld en kan nu nog meer gegevens van besmette systemen stelen. Het gaat om de Dyre Trojan, ook bekend als Dyreza. De malware is ontwikkeld om gegevens voor internetbankieren te stelen en hiermee te frauderen.
Dyreza viel in eerste instantie op vanwege de mogelijkheid om SSL-verkeer te omzeilen door verschillende browsers zoals Internet Explorer, Chrome en Firefox te kapen. Daarna werd er een versie ontdekt die inloggegevens voor Salesforce.com bleek te stelen. De nieuwste versies zijn weer verder uitgebreid. Zo wordt er nu versleuteld met de Command & Control-server gecommuniceerd via een SSL-certificaat dat voor Internet Widgits Pty Ltd. is uitgegeven.
Daarnaast is er nu een nieuwe feature genaamd "browsersnapshot" waarmee cookies, client-side certificaten en privésleutels uit de Windows Certificaat Store worden gestolen. Via dit soort informatie kunnen de aanvallers bijvoorbeeld toegang tot bedrijfssites krijgen waarvoor een apart certificaat is vereist.
Een andere nieuwe feature is dat de malware een overzicht van geïnstalleerde software en services op de computer samenstelt en die naar de aanvallers doorstuurt. Verder worden gebruikers bij het bezoeken van bepaalde banksites naar een server van de criminelen doorgestuurd die als proxy fungeert. Uit informatie van beveiligingsbedrijf Proofpoint blijkt dat het hier niet om Nederlandse banken gaat. Hoe de nieuwste versies zich verspreiden laat de IT-beveiliger niet weten, maar eerdere versies gebruikten e-mailbijlagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.